V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yhvictor
V2EX  ›  信息安全

多个 TPM 模块能不能串联?

  •  
  •   yhvictor · 2021-12-21 07:33:55 +08:00 · 3542 次点击
    这是一个创建于 1072 天前的主题,其中的信息可能已经有所发展或是发生改变。
    RT,都说国内用美产 TPM ,国外用国产 TPM 。
    最近突发奇想,能不能把两个 TPM 串联起来一起用,放个国内的放个国外的。

    那么有这种支持的软件驱动么?
    如果没有的话,硬件上做个芯片带两个 TPM 槽,自己作为 TPM 的难度大么。
    29 条回复    2021-12-22 09:07:12 +08:00
    singerll
        1
    singerll  
       2021-12-21 07:57:18 +08:00 via Android
    你能把 cpu ,内存串联吗?就算串联个数码管还得上锁存器呢,直接串联芯片做梦呢。
    硬件直接集成两个芯片难度肯定不大,就跟你想往自行车上装四个轮胎一样,难度不大,只要脑子正常都不会干。
    yhvictor
        2
    yhvictor  
    OP
       2021-12-21 09:14:30 +08:00
    @singerll 你这是生活受了多大磨难。。。
    des
        3
    des  
       2021-12-21 09:17:53 +08:00 via iPhone
    那密钥存 a 里边还是 b 里边?还是一个存一半?
    yhvictor
        4
    yhvictor  
    OP
       2021-12-21 09:24:19 +08:00
    @des 各存一个啊。
    加密解密都是各过一遍。
    Halry
        5
    Halry  
       2021-12-21 09:25:20 +08:00 via iPhone
    如果这样那可信任根找谁呢,芯片也是 i 或者 a 的
    des
        6
    des  
       2021-12-21 09:29:04 +08:00 via iPhone
    @yhvictor 先不说能不能做,你这不是放大了攻击面吗?
    yhvictor
        7
    yhvictor  
    OP
       2021-12-21 09:30:57 +08:00
    @des 不是啊
    两次加密,如果一个被破解了,还有另一个在能保护。
    不存在弱化的。
    kokutou
        8
    kokutou  
       2021-12-21 09:30:59 +08:00 via Android
    工信部要求不能存在这种带密钥的外国加密设备或系统。。。
    你做进去了,就算没启用也不行。
    yhvictor
        9
    yhvictor  
    OP
       2021-12-21 09:32:49 +08:00
    @kokutou 可以这么弄,就说怕国内厂商不靠谱,我集成俩国内的 TPM 。
    后面我自己换芯片总可以把。 :D
    kokutou
        10
    kokutou  
       2021-12-21 09:54:17 +08:00 via Android
    没哪个厂会自己在自己电脑里埋个炸弹。
    2 个东西要分别测试,都是要钱的。
    商业上不可能支持这种想法。
    zachgenius
        11
    zachgenius  
       2021-12-21 10:29:47 +08:00
    没必要啊......就像给家门入口安装两个防盗门, 增加费用不说, 真没必要. 而且攻击面增大, bug 率更高. 这不像数据库主从备份问题, 多一个备份多一个保障. 多放一个 tpm, 玩 side channel 的可就更开心了
    wangyu17455
        12
    wangyu17455  
       2021-12-21 10:34:40 +08:00
    我记着有个说法是用不同加密方法叠加加密好像并不能提升安全性反而会造成漏洞(只是听说)
    err1y
        13
    err1y  
       2021-12-21 11:35:40 +08:00 via iPhone
    可以了解一下内生安全,拟态防御等技术,以及这两天公布的(但是并没有多少信息的)国产玄武芯:esw5610
    dianso
        14
    dianso  
       2021-12-21 14:12:18 +08:00
    买根绳子绑起来
    jim9606
        15
    jim9606  
       2021-12-21 14:22:21 +08:00
    如果只是用作密钥容器的话应该是可以的吧。虽然没听说有哪家的安全产品支持这种用法。


    @wangyu17455 这个是针对加密算法的说法,题主讨论的主要是 TPM 硬件厂商可能存在侧信道或者后门的问题。
    yhvictor
        16
    yhvictor  
    OP
       2021-12-21 16:31:05 +08:00 via iPhone
    @jim9606 这么多回复终于看到知道我什么意思的了……感动

    主要是 tpm 文档太难找了
    learningman
        17
    learningman  
       2021-12-21 16:33:42 +08:00
    @yhvictor #7 你先理解一下 tpm 吗
    不是上两把锁坏了一把还有一把,他们不是并联是串联的,一个挂了就都没了
    yhvictor
        18
    yhvictor  
    OP
       2021-12-21 16:41:57 +08:00
    @learningman 没懂你什么意思

    TPM 我感觉就俩函数,加密 y=f(x),解密 x=f-1(x)
    另个一 TPM 如果函数是 g

    那么串联就是加密 y=g(f(x)), 解密 x=f-1(g-1(y))

    这跟锁坏没坏什么关系
    learningman
        19
    learningman  
       2021-12-21 16:55:34 +08:00
    @yhvictor #18 这两函数是闭包,里面还有变量的,安全就是因为数据放里边去了
    dingwen07
        20
    dingwen07  
       2021-12-21 17:15:25 +08:00 via iPhone
    你设个开机 pin 码比啥都强
    cccer
        21
    cccer  
       2021-12-21 18:02:59 +08:00
    @yhvictor TPM 只是生成和存储密钥的,加密是由 CPU 或相关的加速卡实现。
    cccer
        22
    cccer  
       2021-12-21 18:05:31 +08:00
    @yhvictor 两个 TPM 存储两个密钥,然后你还要修改相关应用(比如 Bitlocker )让他们支持去读取和使用两个密钥。
    adfs
        23
    adfs  
       2021-12-21 18:08:51 +08:00 via Android
    pc 的主可以自己家 tpm 模块,你可以试试
    adfs
        24
    adfs  
       2021-12-21 18:09:18 +08:00 via Android
    @adfs pc 的主板可以自己加 tpm 模块,你可以试试
    jim9606
        25
    jim9606  
       2021-12-21 20:37:33 +08:00
    @yhvictor 目前我的理解是 TPM 主要是利用 PCR 保证设备可信,这样可以实现无密码解锁,目前 Android 实现设备安全的方法与这个类似。TPM 无密码保护可以防止设备被盗导致的数据泄漏,这也是我认为非常适合消费级用户需求的用法。希望更高安全性的应该使用 TPM+PIN 联合保护。至于密钥托管,YubiKey 等 FIDO 方案灵活性更佳。如果希望 TPM 托管的话,Windows 目前可以使用 Microsoft Platform Crypto Provider 实现 TPM 托管密钥。

    以前在 V2 跟别人讨论过 TPM 对 Windows 的意义。 /t/788634

    Ref:
    创建 TPM 托管证书的方法: https://polansky.co/blog/tpm-backed-certificates-windows/

    TPM 与 Bitlocker: https://zhuanlan.zhihu.com/p/29840740
    yhvictor
        26
    yhvictor  
    OP
       2021-12-21 22:13:50 +08:00 via iPhone
    @dingwen07 …开机密码又不能防止直接拆硬盘
    dingwen07
        27
    dingwen07  
       2021-12-21 23:35:49 +08:00 via iPhone
    @yhvictor #26 BitLocker 的开机 PIN 码,和 TPM 配合使用
    ungrown
        28
    ungrown  
       2021-12-22 00:26:50 +08:00   ❤️ 1
    @yhvictor #2
    别一被怼就反问对方是否生活不如意,先不提别的,光这个反击模式就已经被用烂了,既没新意也没气势,用了先输一半。
    再说,他批评得又没错。
    yhvictor
        29
    yhvictor  
    OP
       2021-12-22 09:07:12 +08:00 via iPhone
    @ungrown 意思只能别人说我脑子不正常。我连骂他都没骂,问问他是不是生活不如意所以戾气这么重都不行么?

    以及,他怎么就批评得没错了?
    我觉得我批评你也没错,你就是脑子有毛病。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3723 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 76ms · UTC 10:42 · PVG 18:42 · LAX 02:42 · JFK 05:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.